KR100852145B1 - Security system and securing method of call signaling messages for session initiation protocol based voice over the internet protocol service - Google Patents
Security system and securing method of call signaling messages for session initiation protocol based voice over the internet protocol service Download PDFInfo
- Publication number
- KR100852145B1 KR100852145B1 KR1020070119812A KR20070119812A KR100852145B1 KR 100852145 B1 KR100852145 B1 KR 100852145B1 KR 1020070119812 A KR1020070119812 A KR 1020070119812A KR 20070119812 A KR20070119812 A KR 20070119812A KR 100852145 B1 KR100852145 B1 KR 100852145B1
- Authority
- KR
- South Korea
- Prior art keywords
- call control
- control message
- message
- state
- server
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1076—Screening of IP real time communications, e.g. spam over Internet telephony [SPIT]
- H04L65/1079—Screening of IP real time communications, e.g. spam over Internet telephony [SPIT] of unsolicited session attempts, e.g. SPIT
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
- H04L65/1104—Session initiation protocol [SIP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Multimedia (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Telephonic Communication Services (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
본 발명은 SIP(Session Initiation Protocol)에 기반한 VoIP(Voice Over the Internet Protocol) 서비스를 위한 호 제어 메시지(Call Signaling Message)의 보안 시스템 및 방법에 관한 것으로, 상세하게는 발신 단말기와 서버 사이에 송수신되는 호 제어 메시지 중, 메시지 문법에 적합하지 않거나, 차단 리스트에 등록된 차단정보를 포함하거나 또는 메시지의 세션(session) 상태에 적합하지 않은 메시지를 차단함으로써, 조작된 패킷 등에 의한 영향을 받지 않고 VoIP 서비스를 제공할 수 있도록 하는 호 제어 메시지의 보안 시스템 및 방법에 관한 것이다.The present invention relates to a security system and method for a call signaling message (Voice Over the Internet Protocol) service based on a Session Initiation Protocol (SIP). VoIP service without being affected by manipulated packets by blocking messages that do not conform to the message grammar, contain blocking information registered in the block list, or which do not conform to the session state of the message. It relates to a security system and method of a call control message to provide a.
VoIP(Voice Over the Internet Protocol) 서비스는 IP 망을 이용하여 음성 통화를 제공하는 서비스를 통칭하며, 저렴한 이용료와 편리한 사용법으로 인해 현재 각광받고 있는 인터넷 전화 서비스이다. VoIP 서비스를 이용한 전화통신에서는 호 설정 프로토콜이 필요하며 다양한 호 설정 프로토콜 중 SIP(Session Initiation Protocol) 프로토콜이 가장 활발하게 연구되고 있다.Voice over the Internet Protocol (VoIP) service is a service that provides voice call using IP network, and is an Internet telephony service that is currently in the spotlight due to low usage fee and convenient usage. Call setup protocol is required for telephony using VoIP service, and Session Initiation Protocol (SIP) protocol is actively researched among various call setup protocols.
SIP에 기반한 VoIP 서비스는 SIP를 통한 호 제어 메시지(Call Signaling Message) 및 RTP 패킷을 이용한 통화 메시지를 사용하여 이루어진다. 호 제어 메시지에 의하여 사용자 등록, 통화 개시 요청 및 통화를 위한 정보가 교환되고, 통화 메시지에 의하여 실제 통화에 해당하는 음성 패킷이 교환된다. 전술한 SIP는 국제표준화기구 IETF(Internet Engineering Task Force)에서 규정한 국제표준인 RFC3261(SIP: Session Initiation Protocol)에 정의되어 있다. SIP-based VoIP services use call signaling messages over SIP and call messages using RTP packets. The call control message exchanges user registration, call initiation request, and information for a call, and the voice message corresponding to the actual call is exchanged by the call message. The aforementioned SIP is defined in RFC3261 (SIP: Session Initiation Protocol), which is an international standard defined by the Internet Organization Task Force (IETF).
그러나 VoIP 서비스는 호 제어 메시지 및 음성 패킷이 쉽게 노출되어, 노출된 패킷의 조작을 통해 과금 회피, 통화 종료 또는 서비스 거부 등의 공격을 받을 수 있는 보안상의 취약점이 있다. 이러한 취약점은 현재 활성화되고 있는 VoIP 서비스에 잠재적인 위협이 되며, IP 기간망에 장애를 일으키게 될 경우 큰 피해를 초래할 수도 있다. 따라서, 이러한 VoIP 서비스의 보안 위협에 대한 대응 방안이 필요하다. However, the VoIP service has a security vulnerability in which call control messages and voice packets are easily exposed, and thus, attacks such as billing avoidance, call termination or denial of service can be made through manipulation of the exposed packets. These vulnerabilities pose a potential threat to the currently active VoIP service and can cause significant damage if the IP backbone fails. Therefore, there is a need for countermeasures against security threats of VoIP services.
상기 종래 기술의 문제점을 해결하기 위한 본 발명은, SIP(Session Initiation Protocol)에 기반한 VoIP(Voice Over the Internet Protocol) 서비스에서 호 제어 메시지가 누출되어 조작되었을 경우에도 조작된 메시지를 사전에 차단함으로써 패킷에 의한 공격의 영향을 받지 않고 VoIP 서비스가 제공되도록 할 수 있는 호 제어 메시지의 보안 시스템 및 방법을 제공하는 것을 목적으로 한다. The present invention for solving the problems of the prior art, even if the call control message is leaked and manipulated in the Voice Over the Internet Protocol (VoIP) service based on Session Initiation Protocol (SIP) by blocking the message in advance It is an object of the present invention to provide a security system and method for call control messages that can provide VoIP services without being affected by an attack.
상기 목적을 달성하기 위한 본 발명의 일 실시예에 따른 호 제어 메시지의 보안 시스템은, 단말기와 서버 사이에 전송되는 호 제어 메시지(Call Signaling Message)를 수신하고, 수신된 호 제어 메시지 중 미리 설정된 형식에 대응되지 않는 호 제어 메시지를 차단하며, 차단되지 않은 호 제어 메시지를 전달하는 메시지 적합성 검증 모듈; 상기 메시지 적합성 검증 모듈로부터 호 제어 메시지를 전달받고, 전달된 호 제어 메시지 중 미리 저장된 차단리스트에 등록된 차단정보를 포함하는 호 제어 메시지를 차단하며, 차단되지 않은 호 제어 메시지를 전달하는 필터링 모듈; 및 상기 필터링 모듈로부터 호 제어 메시지를 전달받고, 전달된 호 제어 메시지 중 호 제어 메시지의 세션(session) 상태에 대응되지 않는 호 제어 메시지를 차단하며, 차단되지 않은 호 제어 메시지를 상기 단말기 또는 상기 서버에 전송하는 메시지 상태 검증 모듈을 포함하여 구성될 수 있다.Security system of a call control message according to an embodiment of the present invention for achieving the above object, receives a call signaling message (Call Signaling Message) transmitted between the terminal and the server, the preset format of the received call control message A message suitability verification module that blocks a call control message that does not correspond to and delivers an unblocked call control message; A filtering module which receives a call control message from the message suitability verification module, blocks a call control message including blocking information registered in a previously stored block list among the transferred call control messages, and delivers an unblocked call control message; And receiving a call control message from the filtering module, blocking a call control message that does not correspond to a session state of a call control message among the transferred call control messages, and transmitting an unblocked call control message to the terminal or the server. It can be configured to include a message status verification module to send to.
본 발명의 일 실시예에 따른 호 제어 메시지의 보안 방법은, 단말기와 서버 사이에 송수신되는 호 제어 메시지(Call Signaling Message)를 메시지 적합성 검증 모듈에서 수신하는 단계 (a); 상기 단계 (a)에서 수신된 호 제어 메시지 중 미리 설정된 형식에 대응되지 않는 호 제어 메시지를 차단하고, 차단되지 않은 호 제어 메시지를 필터링 모듈에 전달하는 단계 (b); 상기 단계 (b)에서 전달된 호 제어 메시지 중 미리 저장된 차단리스트에 등록된 차단정보를 포함하는 호 제어 메시지를 차단하고, 차단되지 않은 호 제어 메시지를 메시지 상태 검증 모듈에 전달하는 단계 (c); 및 상기 단계 (c)에서 전달된 호 제어 메시지 중 호 제어 메시지의 세션(session) 상태에 대응되지 않는 호 제어 메시지를 차단하고, 차단되지 않은 호 제어 메시지를 상기 단말기 또는 상기 서버에 전송하는 단계 (d)를 포함하여 구성될 수 있다.According to an aspect of the present invention, there is provided a method of securing a call control message, the method comprising: receiving a call control message (Call Signaling Message) transmitted and received between a terminal and a server in a message suitability verification module; (B) blocking a call control message that does not correspond to a preset format among the call control messages received in step (a), and forwarding the unblocked call control message to the filtering module; (C) blocking a call control message including blocking information registered in a pre-stored block list among the call control messages transmitted in step (b), and forwarding an unblocked call control message to a message state verification module; And blocking a call control message that does not correspond to a session state of the call control message among the call control messages transmitted in step (c), and transmitting an unblocked call control message to the terminal or the server ( and d).
본 발명의 일 실시예에 따른 호 제어 메시지의 보안 시스템 및 방법을 사용하면, SIP(Session Initiation Protocol)에 기반한 VoIP(Voice Over the Internet Protocol) 서비스에서 호 제어 메시지(Call Signaling Message)가 조작되어 통화 요청 또는 통화 중 통화 이상을 유발하는 것을 방지하고, 호 제어 메시지에 대한 공격을 사전에 차단할 수 있는 이점이 있다.Using a security system and method of a call control message according to an embodiment of the present invention, a call signaling message is manipulated in a Voice Over the Internet Protocol (VoIP) service based on a Session Initiation Protocol (SIP). There is an advantage that it is possible to prevent an abnormal call during a request or a call, and to proactively block an attack on a call control message.
이하에서, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대하여 상세히 살펴본다.Hereinafter, with reference to the accompanying drawings looks at in detail with respect to the preferred embodiment of the present invention.
본 발명은 SIP(Session Initiation Protocol)에 기반한 VoIP(Voice Over the Internet Protocol) 서비스에서, 단말과 프록시 서버 사이에서 호 제어 메시지(Call Signaling Message)를 송수신하는 과정에서 받게 될 수 있는 공격에 대응하기 위한 호 제어 메시지의 보안 시스템 및 방법을 제공한다.The present invention is to respond to an attack that may be received in the process of transmitting and receiving a call signaling message between a terminal and a proxy server in a Voice Over the Internet Protocol (VoIP) service based on Session Initiation Protocol (SIP) Provides a security system and method for call control messages.
도 1은 SIP에 기반한 VoIP 서비스를 제공하는 시스템의 개략적인 구성을 도시한 블록도이다. 도 1을 참조하면, 발신자가 자신의 단말기(1)를 사용하여 호 접속을 요청할 경우, 발신측 프록시 서버(2) 및 수신측 프록시 서버(3)를 거쳐 수신자의 단말기(4)와 발신자의 단말기(1) 사이에 음성 통화가 연결된다. 1 is a block diagram illustrating a schematic configuration of a system for providing a VoIP service based on SIP. Referring to FIG. 1, when a caller requests a call connection using his terminal 1, the callee's
이때 본 발명에 따른 호 제어 메시지의 보안 시스템(5)은 발신 단말기(1)와 발신측 프록시 서버(2) 사이에 연결될 수 있다. 그러나, 본 발명의 다른 실시예에서는 도 1에 도시된 실시예와 달리 호 제어 메시지의 보안 시스템(5)이 수신 단말기(4)와 수신측 프록시 서버(3)사이에 연결될 수도 있다. 호 제어 메시지의 보안 시스템(5)은 단말기와 서버 사이에 송수신되는 호 제어 메시지를 수신하고, 수신된 메시지가 적합한지의 여부를 검증하고, 차단리스트에 등록된 정보가 포함되었는지 여부와, 수신된 메시지가 세션(session) 상태에 적합한 메시지인지 여부를 검증하여, 유해한 메시지를 차단하고 적합한 메시지만이 송신되도록 한다. In this case, the
SIP에 기반한 호 제어 메시지는 요청 메시지(Request Message)와 응답 메시지(Response Message)로 구분된다. 요청 메시지는 INVITE, Cancel, BYE, Option 등 세션요청, 통화종료 및 상태확인 등의 요청을 수행하는 메시지이다. 응답 메시지는 100 Trying, 180 Ringing, 200 OK, ACK 등 요청에 대한 응답 또는 에러 통보 메시지이다. 하나의 호 제어 메시지는 하기 표 1과 같이 구성된다.SIP-based call control messages are divided into a request message and a response message. The request message is a message that performs a request for session, call termination and status check such as INVITE, Cancel, BYE, and Option. The response message is a response or error notification message for a request such as 100 Trying, 180 Ringing, 200 OK, or ACK. One call control message is configured as shown in Table 1 below.
상기 표 1에서 시작 줄은 메시지의 종류와 수신자 정보를 포함하며, 메시지 헤더는 통신에 필요한 필수 정보를 포함하고, 메시지 본문은 통신에 필요한 추가적인 정보를 포함한다. In Table 1, the start line includes message type and receiver information, the message header includes essential information necessary for communication, and the message body includes additional information required for communication.
SIP에서 메시지 헤더의 각 행에 위치한 항목은 필드(field)라고 칭하여지며, 이 중 Via, Max-Forwards, To, From, Call-ID, CSeq 의 6가지 필드는 필수 필드(mandatory field)로서 반드시 포함되어야 한다. Via 필드는 SIP 메시지가 경유한 단(hop)에 대한 정보, Max-Forwards 필드는 전송에 사용가능한 단(hop)의 수, To 필드는 수신자, From 필드는 발신자, Call-ID 필드는 해당 세션의 고유한 식별자, CSeq 필드는 메시지순서에 따라 1씩 증가하는 값이며 후술할 트랜젝션(transaction)을 식별하기 위한 식별자를 각각 나타낸다.In SIP, an item located in each line of a message header is called a field, and six fields of Via, Max-Forwards, To, From, Call-ID, and CSeq must be included as mandatory fields. Should be. The Via field is information about hops via a SIP message, the Max-Forwards field is the number of hops available for transmission, the To field is the receiver, the From field is the sender, and the Call-ID field is the The unique identifier, the CSeq field, is incremented by one in the message order and represents an identifier for identifying a transaction to be described later.
또한, 추가 필드로서 Route 및 Record-Route 필드는 전송에 있어 반드시 경 유할 서버 주소와 경유된 서버 주소를 각각 나타내며, Authorization 필드는 인증관련 정보를 나타낸다. SIP 메시지의 종류 및 메시지 헤더의 각 필드에 대한 상세한 설명은, 전술한 국제표준인 RFC3261에 상세히 기술되어 있어 본 발명이 속하는 기술 분야의 당업자에게 용이하게 이해될 수 있으므로 자세한 설명을 생략한다. In addition, as an additional field, the Route and Record-Route fields indicate a server address to pass through and a server address passed through, respectively, and an Authorization field indicates authentication related information. The type of the SIP message and a detailed description of each field of the message header are described in detail in the above-described international standard RFC3261, and thus will be easily understood by those skilled in the art to which the present invention pertains.
도 2는 본 발명의 일 실시예에 따른 호 제어 메시지의 보안 시스템의 구성을 도시한 블록도이다. 도 2를 참조하면, 상기 실시예에 따른 호 제어 메시지의 보안 시스템은 메시지 적합성 검증모듈(10), 필터링 모듈(20) 및 메시지 상태 검증 모듈(30)을 포함하여 구성된다. 2 is a block diagram illustrating a configuration of a security system of a call control message according to an embodiment of the present invention. Referring to FIG. 2, the call control message security system according to the embodiment includes a message
먼저, 메시지 적합성 검증모듈(10)은 서버(2)와 단말기(1) 사이에서 호 제어를 위하여 송수신되는 호 제어 메시지를 수신하고, 수신한 메시지에서 각 필드(field)값을 파싱(Parsing)한다. 다음으로 메시지 적합성 검증모듈(10)은 각 필드에 기재된 값이 SIP의 기재 형식에 맞게 작성되었는지를 검사한다. 전술한 바와 같이 호 제어 메시지의 각 필드에 기재되는 값 및 그 형식은 RFC3261 표준에 의하여 규정되어 있다. First, the message
본 발명의 일 실시예에서, 메시지 적합성 검증 모듈(10)은 호 제어 메시지의 각 필드의 값에 유해 정보가 포함되지 않았는지 여부를 검사할 수도 있다. 여기서 유해 정보란, VoIP 서비스에 있어 서버의 사용자 인증을 우회할 가능성이 있는 부적합한 문자열을 의미하며, 예컨대 SIP의 기재 형식을 벗어나는 특수 문자(special character) 또는 구조화 조회 언어(Structured Query Language; SQL) 명령어 등이 이에 해당한다. 메시지 적합성 검증모듈(10)은 예컨대 From, To, Via, Call-ID, Max-Fowards, CSeq 필드와 같은 호 제어 메시지의 필수 필드, Route, Record-Route 필드와 같은 확장 필드 또는 Authorization, Proxy-Authorization 필드와 같은 인증 관련 필드 각각의 값에서 메시지가 적절하게 작성되었는지 여부와 전술한 유해 정보를 검색하여 해당 메시지가 조작되었는지 여부를 판단한다.In one embodiment of the present invention, the message
검색 결과 필드값이 적절하지 않거나 유해 정보를 포함하는 것으로 판단되면 메시지 적합성 검증모듈(10)에 의하여 차단되며, 차단되지 않은 메시지들은 후술하는 필터링 모듈로 전달된다. If it is determined that the search result field value is not appropriate or contains harmful information, the message
필터링 모듈(20)은 메시지 적합성 검증모듈(10)로부터 검증이 완료된 호 제어 메시지를 전달받고 미리 저장된 차단리스트에 등록된 차단정보를 포함하는 메시지를 차단하기 위한 모듈로, 차단리스트 DB(22) 및 필터링부(21)를 포함하여 구성된다. The
차단리스트 DB(22)에는 SIP 호 제어 메시지의 필드에 기반한 차단리스트가 미리 저장되며, 예컨대 SIP 호 제어 메시지의 필드값에 대한 문자열이 이에 해당된다. 본 발명의 일 실시예에서, 상기 차단리스트는 서비스 제공자에 의하여 미리 차단리스트 DB(22)에 입력될 수 있으며, 또는 SIP 프로토콜에 대한 침입탐지 시스템(IDS 등)을 통하여 차단리스트 DB(22)에 저장하도록 구성될 수도 있다.In the
필터링부(21)는 차단리스트 DB(22)에 저장된 차단리스트를 사용하여 호 제어 메시지의 필터링을 수행한다. 본 발명의 일 실시예에서, 필터링부(21)는 호 제어 메시지의 헤더의 각 필드 값을 차단리스트에 등록된 문자열과 비교하여, 어느 하나의 필드가 차단리스트 상의 문자열을 포함하는 경우 해당 호 제어 메시지를 차단한다. 즉, 호 제어 메시지의 From, To, Via, Route 또는 Record-Route 등과 같은 필드에 기록된 문자열이 차단리스트에 등록되어 있을 경우 해당 호 제어 메시지는 차단된다.The
상기 차단리스트 DB(22)에 저장된 차단리스트는 필터링부(21)가 동작하기 전에 미리 관리자에서 기 수집된 차단리스트를 받고 입력되거나, SIP 프로토콜에 대한 침입탐지 시스템(IDS 등)에서 탐지된 결과의 분석을 통해 입력될 수 있다. 본 발명은 차단리스트에 기록되는 방법에 대해서는 한정하지 않는다.The block list stored in the
상태 검증 모듈(30)은 메시지 적합성 검증모듈(10) 및 필터링 모듈(20)에 의해 검증이 완료된 호 제어 메시지를 전달받고, 전술한 RFC3261에 개시된 호 제어 메시지의 트랜젝션 플로우(transaction flow)에 기반하여 호 제어 메시지가 해당 메시지를 수신할 단말기 또는 서버에 저장된 세션 상태에 대응하는지 여부를 검증한다. 만약 호 제어 메시지가 세션 상태에 대응되지 않는 경우, 상태 검증 모듈(30)은 해당 호 제어 메시지가 조작된 것으로 판단하여 이를 차단한다.The
SIP는 호 제어 메시지에 의하여 이를 수신한 단말기 또는 서버의 트랜젝션 층(transaction layer)의 해당 세션 상태가 천이되는 트랜젝션 기반 프로토콜이다. 트랜젝션 층이란 서버 또는 단말기에서 호 접속 상태에 따라 제어 메시지를 수신하기 위하여 사용되는 기능적인 모듈에 해당한다. 상태 천이에 따라 서버 또는 단말기가 수신 가능한 메시지의 종류가 상이하게 되므로, 본 발명에서는 이를 이용하여 적합하지 않은 메시지를 선별하고 차단한다. SIP is a transaction-based protocol in which a corresponding session state of a transaction layer of a terminal or server that receives it is transferred by a call control message. The transaction layer corresponds to a functional module used to receive a control message according to a call connection state in a server or a terminal. Since the types of messages that can be received by the server or the terminal are different according to the state transition, the present invention selects and blocks an unsuitable message by using the same.
도 3 내지 도 6은 호 제어 메시지에 의한 서버 및 단말기의 트랜젝션 층의 세션 상태 천이를 예시적으로 나타낸 도면들이다. SIP에 기반한 통신에 있어서 호 접속을 요청하는 메시지인 INVITE 메시지 또는 INVITE 메시지 이외의 메시지가 수신되는 각 경우의 서버 및 단말기의 세션 상태 변화에 대해서는 전술한 RFC3261에 상세하게 정의되어 있다. 따라서 본 발명의 기술 분야의 당업자는 이를 용이하게 이해할 수 있을 것이므로, 본 명세서에서는 개략적으로만 설명하기로 한다.3 to 6 exemplarily illustrate session state transition of a transaction layer of a server and a terminal by a call control message. In the SIP-based communication, the session state change of the server and the terminal in each case where an INVITE message or a message other than the INVITE message, which is a message for requesting a call connection, is received, is defined in detail in the aforementioned RFC3261. Therefore, those skilled in the art will be able to easily understand this, it will be described only schematically in this specification.
도 3은 통화 개시를 위한 INVITE 메시지가 서버로 유입되는 경우, 각 메시지의 수신에 따른 서버의 세션 상태 천이를 예시적으로 도시한다. 사각형은 서버측의 세션 상태를 도시하며, 사각형 사이의 화살표는 상태 천이를 도시하고, 화살표 옆에 병기된 문자 또는 숫자는 상태 천이에 필요한 메시지의 종류를 도시한다. FIG. 3 exemplarily illustrates a session state transition of a server according to reception of each message when an INVITE message for initiating a call flows into a server. The rectangles show the session state on the server side, the arrows between the rectangles show the state transitions, and the letters or numbers written next to the arrows show the kinds of messages required for the state transitions.
도 3을 참조하면, 최초로 INVITE 메시지가 서버로 유입될 때 서버측의 해당 세션 상태는 진행(Proceeding) 상태로 천이된다. 이 상태에서 서버는 INVITE 메시지, 1XX 응답, 2XX 응답, 3XX 내지 응답 및 전송 에러(transport error) 등의 메시지를 수신할 수 있다. 또한, 300 내지 699 응답이 수신되는 경우 세션 상태는 완료(Completed) 상태로 천이된다. 또한, 완료(Completed) 상태에서 수신 확인(ACK) 메시지가 수신되면 확인(Confirmed) 상태로 천이되며, 확인(Confirmed) 상태에서 타이머(Timer) 메시지를 수신할 경우 종료(Terminated) 상태로 천이된다.Referring to FIG. 3, when an INVITE message first flows into a server, the corresponding session state on the server side transitions to a proceeding state. In this state, the server may receive messages such as INVITE message, 1XX response, 2XX response, 3XX to response, and transport error. In addition, when a 300 to 699 response is received, the session state transitions to the completed state. In addition, when the ACK message is received in the Completed state, the terminal transitions to the Confirmed state. When the timer message is received in the Confirmed state, the terminal transitions to the Terminated state.
도 4는 INVITE 메시지 이외의 메시지가 수신되는 경우 서버측의 세션 상태 천이 및 각 상태에서 수신 가능한 메시지의 종류를 도시한다. 도시되는 바와 같이, 세션 상태는 수신된 메시지에 따라 시도(Trying), 진행(Proceeding), 완료(Completed) 및 종료(Terminated)의 상태로 천이하게 된다. FIG. 4 illustrates the transition of the session state on the server side and the types of messages that can be received in each state when a message other than the INVITE message is received. As shown, the session state transitions to the states of Trying, Proceeding, Completed and Terminated according to the received message.
한편, 도 5 및 도 6은 각각 INVITE 메시지를 수신한 경우와 INVITE 메시지 이외의 메시지를 수신한 경우 단말기측의 세션 상태 변화를 도시한다. 도 5를 참조하면, INVITE 메시지를 수신한 단말기측의 세션 상태는 발신(Calling), 진행(Proceeding), 완료(Completed), 종료(Terminated)의 상태를 메시지 상태에 따라 천이하게 된다. 한편 도 6을 참조하면, INVITE 메시지 이외의 메시지를 수신한 단말기측의 세션 상태는 시도(Trying), 진행(Proceeding), 완료(Completed) 및 종료(Terminated)의 상태를 메시지 상태에 따라 천이하게 된다. 도 3과 마찬가지로, 도 5 및 도 6에도 각각의 상태 사이를 천이하기 위하여 필요한 메시지의 종류 및 상태 천이가 문자 및 화살표로 도시된다. 5 and 6 illustrate changes in session state on the terminal side when an INVITE message is received and when a message other than the INVITE message is received, respectively. Referring to FIG. 5, the session state of the terminal receiving the INVITE message transitions the states of Calling, Proceeding, Completed, and Terminated according to the message state. Meanwhile, referring to FIG. 6, the session state of the terminal that receives a message other than the INVITE message transitions the states of Trying, Proceeding, Completed, and Terminated according to the message state. . Similarly to FIG. 3, the types and state transitions of the messages required to transition between the respective states are also shown by letters and arrows in FIGS. 5 and 6.
다시 도 2를 참조하면, 상태 검증 모듈(30)은 서버 상태 DB(32), 단말기 상태 DB(33) 및 상태 검증부(31)를 포함하여 구성된다. 서버 상태 DB(32)는 서버의 트랜젝션 층의 세션 상태 정보를 저장하며, 단말기 상태 DB(33)는 단말기의 트랜젝션 층의 세션 상태 정보를 저장한다. 상태 검증부(31)는, 필터링 모듈(20)로부터 호 제어 메시지를 전달받고, 호 제어 메시지가 수신될 서버 또는 단말기에서 해당하는 세션의 상태 정보를 조회하여 메시지가 적합한지 여부를 검증한다. Referring back to FIG. 2, the
SIP 기반 VoIP에서 호 제어 메시지에 의하여 제어되는 각각의 호는 메시지 헤더의 Call-ID 필드 등에 기록되는 고유값을 가지게 되며, 상태 검증부(31)는 이러한 고유값을 서버 상태 DB(32) 또는 단말기 상태 DB(33)에서 검색함으로써, 전달된 호 제어 메시지를 수신할 서버 또는 단말기에서 해당하는 세션의 상태를 조회할 수 있다.Each call controlled by the call control message in SIP-based VoIP has a unique value recorded in the Call-ID field of the message header and the like, and the
즉, 발신 단말기(1)로부터 발신측 프록시 서버(2)에 전송되기 위한 호 제어 메시지가 전달된 경우, 상태 검증부(30)는 메시지를 수신할 발신측 프록시 서버(2)의 해당 세션 상태 정보를 서버 상태 DB(32)로부터 조회한다. 그리고 전달된 호 제어 메시지가 현재 상태에 적합한 경우 이를 발신측 프록시 서버(2)에 전송하며, 현재 상태에 적합하지 않은 경우에는 이를 조작된 메시지로 보아 차단한다. 예컨대, 도 3을 참조하면, 상태 검증부(31)가 서버 상태 DB(32)를 조회한 결과 발신측 프록시 서버(2)가 완료(Completed) 상태에 있을 경우, 필터링 모듈(20)로부터 1XX 또는 2XX 메시지가 유입되었다면, 이는 발신측 프록시 서버(2)의 현재 세션 상태에 대응되지 않는 것이므로 해당 호 제어 메시지는 차단된다. That is, when a call control message for transmission from the originating terminal 1 to the originating
반대로, 발신측 프록시 서버(2)로부터 발신 단말기(1)에 전송되기 위한 호 제어 메시지가 전달된 경우라면, 상태 검증부(31)는 단말기 상태 DB(33)로부터 발신 단말기(1)의 해당 세션 상태 정보를 조회한다. 마찬가지로 상태 검증부(31)는 호 제어 메시지가 발신 단말기(1)의 현재 상태에 적합할 경우 이를 발신 단말기(1)에 전송하며, 현재 상태에 적합하지 않은 경우에는 조작된 메시지로 판단하여 차단한다. On the contrary, if the call control message for transmission from the originating
또한, 본 발명의 일 실시예에서는, 필터링 모듈(20)로부터 전달된 호 제어 메시지에 대응하는 세션 상태 정보가 서버 상태 DB(32) 또는 단말기 상태 DB(33)에 저장되어 있지 않은 경우, 상태 검증부(31)는 해당 호 제어 메시지로 인한 서버 또는 단말기의 세션 상태 변화를 해당 DB에 저장할 수도 있다.In addition, in one embodiment of the present invention, if the session state information corresponding to the call control message transmitted from the
도 7은 본 발명의 일 실시예에 따른 호 제어 메시지의 보안 방법의 각 단계를 도시한 순서도이다. 도 2 및 도 7을 참조하면, 상기 실시예에 따른 호 제어 메시지의 보안 방법은 메시지 적합성 검증모듈(10)이 단말기 또는 서버로부터 SIP에 기반한 호 제어 메시지를 수신하는 것으로 시작된다(S1). 메시지 적합성 검증모듈(10)은 수신된 호 제어 메시지를 각 필드값으로 구분하고, 메시지의 각 필드가 미리 설정된 형식에 적합한지 여부, 특히 인증필드에 특수 문자(special character) 또는 구조화 조회 언어(Structured Query Language; SQL) 명령어와 같은 미리 설정된 유해 정보가 포함되어 있는지 여부를 검사한다(S2). 메시지 형식이 적합하지 않거나 유해 정보가 포함된 메시지는 메시지 적합성 검증모듈(10)에 의해 차단된다(S5). 7 is a flowchart illustrating each step of the method for securing a call control message according to an embodiment of the present invention. 2 and 7, the method for securing a call control message according to the embodiment starts with the message
메시지 적합성 검증모듈(10)은 적정한 메시지를 가지고 있는 호 제어 메시지를 필터링 모듈(20)로 전달한다. 필터링 모듈(20)은 전달된 호 제어 메시지가 차단 리스트에 등록된 필드의 문자열을 포함하는지 여부를 검사한다(S3). 차단 리스트 상의 필드에 대한 문자열을 포함하는 메시지는 필터링 모듈(20)에 의해 차단된다(S5). 차단 리스트에 등록되는 필드의 문자열은, 예컨대, 조작된 패킷을 전송하는 서버 주소 등이 해당될 수 있으며, 복수 개의 필드에 대한 문자열을 포함하는 차단 리스트가 차단 리스트 DB(22)에 미리 저장된다. 필터링 모듈(20)의 필터링부(21)는 차단 리스트 DB(22)로부터 차단 리스트를 조회하여 해당하는 호 제어 메시지를 차단한다. The message
필터링 모듈(20)에 의해 필터링이 완료된 호 제어 메시지는 메시지 상태 검증 모듈(30)로 전달된다. 메시지 상태 검증 모듈(30)은 전달된 호 제어 메시지가 호 제어 메시지를 수신할 서버 또는 단말기에서 해당하는 세션의 상태에 적합한지 여부를 판단한다(S4). 수신 대상 단말기 또는 서버의 상태에 적합하지 않은 호 제어 메시지는 차단된다(S5). The call control message that has been filtered by the
SIP에 기반한 단말기 및 서버측의 세션 상태 정보는 각각 단말기 상태 DB(33) 및 서버 상태 DB(32)에 저장되며, 상태 검증 모듈의 상태 검증부(31)는 호 제어 메시지를 수신할 대상에 따라 단말기 상태 DB(33) 또는 서버 상태 DB(32)를 조회하여 적합하지 않은 메시지를 선별하여 차단한다. 한편, 차단되지 않은 나머지 호 제어 메시지는 메시지의 수신 대상에 따라 단말기 또는 서버로 전송된다(S6).Session state information of the terminal and server side based on the SIP is stored in the
도 8은 본 발명의 일 실시예에 따른 호 제어 메시지의 보안 방법에서 호 제어 메시지의 상태 검증 과정의 각 단계를 도시한 순서도이다. 도 2 및 도 8을 참조하면, 우선 상태 검증 모듈(30)은 필터링 모듈(20)로부터 호 제어 메시지를 전달받는다(S41). 호 제어 메시지가 전달되면, 상태 검증 모듈(30)의 상태 검증부(31)는 해당 호 제어 메시지에 대응하는 세션 상태 정보가 메시지의 서버 상태 DB(32) 또는 단말기 상태 DB(33)에 저장되어 있는지 조회한다(S42).8 is a flowchart illustrating each step of a process of verifying a state of a call control message in a method for securing a call control message according to an embodiment of the present invention. 2 and 8, first, the
예컨대 호 제어 메시지가 서버로부터 단말기에 전송되는 경우 상태 검증부(31)는 단말기 상태 DB(33)를 조회하며, 단말기로부터 서버에 전송되는 경우에는 서버 상태 DB(32)를 조회한다. 본 발명의 일 실시예에서, 조회 결과 호 제어 메시지에 해당하는 세션 상태 정보가 저장되어 있지 않을 경우, 상태 검증부(31)는 해당 호 제어 메시지에 의한 세션 상태 정보를 서버 상태 DB(32) 또는 단말기 상태 DB(33)에 저장할 수도 있다(S43). For example, when the call control message is transmitted from the server to the terminal, the
서버 상태 DB(32) 또는 단말기 상태 DB(33)를 조회한 결과, 전달된 호 제어 메시지에 대응하는 세션 상태 정보가 저장되어 있을 경우, 상태 검증부(31)는 해당 호 제어 메시지가 단말기로부터 전송된 메시지인지 여부를 판단한다(S44). 그리고 호 제어 메시지가 단말기로부터 전송된 경우에는 서버 상태 DB(32)를 조회하여 호 제어 메시지가 서버측의 현재 세션 상태에 적합한지 여부를 판단한다(S45). 한편 호 제어 메시지가 단말기로부터 전송된 것이 아닐 경우, 즉 서버로부터 전송된 경우에는 단말기 상태 DB(33)를 조회하여 호 제어 메시지가 단말기측의 현재 세션 상태에 적합한지 여부를 판단한다(S46). When the
이상에서 살펴본 본 발명의 일 실시예에 따른 호 제어 메시지의 보안 시스템 및 방법을 사용하면, SIP에 기반한 VoIP 서비스에서 송수신되는 호 제어 메시지 중 형식에 적합하지 않거나 유해 정보가 포함되었거나, 차단 리스트에 등록된 필드의 문자열이 포함되었거나, 메시지의 수신 대상 단말기 또는 서버의 트랜젝션 상태에 대응되지 않는 메시지를 차단함으로써 조작된 호 제어 메시지가 유입되는 것을 방지할 수 있다. 따라서, VoIP 서비스에서 통화 요청 또는 통화 중 통화 이상이 유발되는 것을 방지하고, 호 제어 메시지에 의한 공격을 사전에 차단할 수 있는 이점이 있다.When using the security system and method of the call control message according to an embodiment of the present invention described above, the call control messages transmitted and received in the SIP-based VoIP service does not conform to the format or contains harmful information, or registered in the block list The blocked call message may be prevented from being introduced by blocking a message that does not correspond to a transaction state of a terminal or a server receiving a message. Therefore, there is an advantage that can prevent a call request or a call abnormality during the call in the VoIP service, and can prevent the attack by the call control message in advance.
이상 본 발명의 특정 실시예를 도시하고 설명하였으나, 본 발명의 기술사상은 첨부된 도면과 상기한 설명내용에 한정하지 않으며 본 발명의 사상을 벗어나지 않는 범위 내에서 다양한 형태의 변형이 가능함은 이 분야의 통상의 지식을 가진 자에게는 자명한 사실이며, 이러한 형태의 변형은, 본 발명의 정신에 위배되지 않는 범위 내에서 본 발명의 특허청구범위에 속한다고 볼 것이다. While specific embodiments of the present invention have been illustrated and described, the technical spirit of the present invention is not limited to the accompanying drawings and the above description, and various modifications can be made without departing from the spirit of the present invention. It will be apparent to those skilled in the art, and variations of this form will be regarded as belonging to the claims of the present invention without departing from the spirit of the present invention.
도 1은 SIP 기반 VoIP 서비스 시스템의 구성을 도시한 블록도이다.1 is a block diagram showing the configuration of a SIP-based VoIP service system.
도 2는 본 발명의 일 실시예에 따른 호 제어 메시지의 보안 시스템의 구성을 도시한 블록도이다.2 is a block diagram illustrating a configuration of a security system of a call control message according to an embodiment of the present invention.
도 3 및 도 4는 SIP 기반 VoIP 서비스 시스템에서 호 제어 메시지 수신에 따른 서버의 세션 상태 천이를 예시적으로 도시한 개략도이다.3 and 4 are schematic diagrams illustrating a session state transition of a server according to a call control message reception in a SIP-based VoIP service system.
도 5 및 도 6은 SIP 기반 VoIP 서비스 시스템에서 호 제어 메시지 수신에 따른 단말기의 세션 상태 천이를 예시적으로 도시한 개략도이다.5 and 6 are schematic diagrams illustrating a session state transition of a terminal according to a call control message reception in a SIP-based VoIP service system.
도 7은 본 발명의 일 실시예에 따른 호 제어 메시지의 보안 방법의 각 단계를 도시한 순서도이다. 7 is a flowchart illustrating each step of the method for securing a call control message according to an embodiment of the present invention.
도 8은 본 발명의 일 실시예에 따른 호 제어 메시지의 보안 방법에서 메시지 상태 검증 과정의 각 단계를 도시한 순서도이다.8 is a flowchart illustrating each step of a message status verification process in the method for securing a call control message according to an embodiment of the present invention.
Claims (14)
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070119812A KR100852145B1 (en) | 2007-11-22 | 2007-11-22 | Security system and securing method of call signaling messages for session initiation protocol based voice over the internet protocol service |
US12/181,607 US20090138954A1 (en) | 2007-11-22 | 2008-07-29 | SECURITY SYSTEM AND SECURING METHOD OF CALL SIGNALING MESSAGES FOR SESSION INITIATION PROTOCOL BASED VoIP SERVICE |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070119812A KR100852145B1 (en) | 2007-11-22 | 2007-11-22 | Security system and securing method of call signaling messages for session initiation protocol based voice over the internet protocol service |
Publications (1)
Publication Number | Publication Date |
---|---|
KR100852145B1 true KR100852145B1 (en) | 2008-08-13 |
Family
ID=39881739
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020070119812A KR100852145B1 (en) | 2007-11-22 | 2007-11-22 | Security system and securing method of call signaling messages for session initiation protocol based voice over the internet protocol service |
Country Status (2)
Country | Link |
---|---|
US (1) | US20090138954A1 (en) |
KR (1) | KR100852145B1 (en) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101011221B1 (en) * | 2008-12-23 | 2011-01-26 | 한국인터넷진흥원 | Detection and block system for hacking attack of internet telephone using the SIP-based and method thereof |
KR101088852B1 (en) * | 2009-12-09 | 2011-12-06 | 한국인터넷진흥원 | System for detecting toll fraud attack for internet telephone and method for the same |
KR101388627B1 (en) | 2013-11-07 | 2014-04-24 | 한국인터넷진흥원 | Apparatus for blocking abnormal traffic in 4g mobile network |
KR101388628B1 (en) | 2013-11-07 | 2014-04-24 | 한국인터넷진흥원 | Method for blocking abnormal traffic in 4g mobile network |
KR20160086584A (en) * | 2015-01-12 | 2016-07-20 | 주식회사 엔터플 | Method and apparatus for secured communication using predefined url |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11582331B2 (en) * | 2020-08-10 | 2023-02-14 | T-Mobile Usa, Inc. | Handling SIP messages with malformed header fields |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20060044493A (en) * | 2004-03-24 | 2006-05-16 | 엑서스테크놀러지 주식회사 | Authentication system being capable of controlling authority based of user and authenticator |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6757732B1 (en) * | 2000-03-16 | 2004-06-29 | Nortel Networks Limited | Text-based communications over a data network |
US7886348B2 (en) * | 2003-10-03 | 2011-02-08 | Verizon Services Corp. | Security management system for monitoring firewall operation |
US8135022B2 (en) * | 2005-05-26 | 2012-03-13 | Xconnect Global Networks Ltd. | Detection of SPIT on VoIP calls |
US7992205B2 (en) * | 2005-08-12 | 2011-08-02 | Cisco Technology, Inc. | Method and system device for deterring spam over internet protocol telephony and spam instant messaging |
US20070091907A1 (en) * | 2005-10-03 | 2007-04-26 | Varad Seshadri | Secured media communication across enterprise gateway |
US20070101144A1 (en) * | 2005-10-27 | 2007-05-03 | The Go Daddy Group, Inc. | Authenticating a caller initiating a communication session |
US20070150773A1 (en) * | 2005-12-19 | 2007-06-28 | Nortel Networks Limited | Extensions to SIP signaling to indicate SPAM |
KR100910581B1 (en) * | 2007-09-05 | 2009-08-03 | 한국전자통신연구원 | System and method for filtering spam of sip based |
-
2007
- 2007-11-22 KR KR1020070119812A patent/KR100852145B1/en not_active IP Right Cessation
-
2008
- 2008-07-29 US US12/181,607 patent/US20090138954A1/en not_active Abandoned
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20060044493A (en) * | 2004-03-24 | 2006-05-16 | 엑서스테크놀러지 주식회사 | Authentication system being capable of controlling authority based of user and authenticator |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101011221B1 (en) * | 2008-12-23 | 2011-01-26 | 한국인터넷진흥원 | Detection and block system for hacking attack of internet telephone using the SIP-based and method thereof |
KR101088852B1 (en) * | 2009-12-09 | 2011-12-06 | 한국인터넷진흥원 | System for detecting toll fraud attack for internet telephone and method for the same |
KR101388627B1 (en) | 2013-11-07 | 2014-04-24 | 한국인터넷진흥원 | Apparatus for blocking abnormal traffic in 4g mobile network |
KR101388628B1 (en) | 2013-11-07 | 2014-04-24 | 한국인터넷진흥원 | Method for blocking abnormal traffic in 4g mobile network |
KR20160086584A (en) * | 2015-01-12 | 2016-07-20 | 주식회사 엔터플 | Method and apparatus for secured communication using predefined url |
WO2016114538A1 (en) * | 2015-01-12 | 2016-07-21 | n-tuple.co.ltd | Method and device for secure communication using predefined url |
KR101686181B1 (en) | 2015-01-12 | 2016-12-28 | 주식회사 엔터플 | Method and apparatus for secured communication using predefined url |
US10498773B2 (en) | 2015-01-12 | 2019-12-03 | n-tuple.co.ltd | Method and device for secure communication using predefined URL |
US11258829B2 (en) | 2015-01-12 | 2022-02-22 | n-tuple.co.ltd | Method and device for secure communication using predefined URL |
Also Published As
Publication number | Publication date |
---|---|
US20090138954A1 (en) | 2009-05-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2112798B1 (en) | Service controlling in a service provisioning system | |
Rosenberg et al. | SIP: session initiation protocol | |
US8359015B2 (en) | Method of providing a call completion service to a not registered or not available user in a telecommunication network | |
US7702081B1 (en) | Call back number provisioning for emergency call services | |
US9379914B2 (en) | Method and system for implementing aggregate endpoints on IMS networks | |
KR100852145B1 (en) | Security system and securing method of call signaling messages for session initiation protocol based voice over the internet protocol service | |
ES2327274T3 (en) | TREATMENT OR MESSAGE MANAGEMENT IN A MULTIMEDIA IP SUBSYSTEM. | |
KR100838811B1 (en) | Secure session border controller system for voip service security | |
JP2008148310A (en) | Method and system for managing multimedia session | |
EP2529526B1 (en) | Method and equipment for forwarding a sip request message having alerting information associated therewith to a receiving subscriber in a sip based communications network | |
US20080285468A1 (en) | Method and computer-readable medium for detecting abnormal packet in VoIP | |
CN104767709B (en) | A kind of method and device blocking the calling of IMS service exceptions | |
JP2009540711A (en) | Loop detection in SIP signaling proxy | |
US9191423B2 (en) | Caller-ID for redirected calls from SIP-PBX | |
JP5541287B2 (en) | PUCI system | |
WO2010150043A1 (en) | A method of providing a call completion service to a not registered or not available user in a telecommunication network | |
US10686849B2 (en) | Data processing | |
JP5574698B2 (en) | Method for managing communication service, terminal configured to use communication service, registration device configured to register terminal, proxy device, and protocol stack product | |
CN101465865B (en) | Method and equipment for defending network aggression and establishing network connection | |
US20100246447A1 (en) | Method and device for processing data and communication system comprising such device | |
KR100608907B1 (en) | Method and system for recording image communication data in 3gpp ims network | |
CN102055744A (en) | Implementing system and method of IP (Internet Protocol) multimedia subsystem emergency call service | |
Pranoto et al. | Retransmission issue of SIP session over UDP transport protocol in IP Multimedia Subsystem-IMS | |
KR100957432B1 (en) | Media transmission method | |
Madhosingh | The design of a differentiated session initiation protocol to control voip spam |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
A302 | Request for accelerated examination | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20120713 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20130614 Year of fee payment: 6 |
|
LAPS | Lapse due to unpaid annual fee |